Github verstärkt Security-Anstrengungen

An der Github Universe Developer Conference hat Github ein neues Community-Programm unter dem Namen Security Lab angekündigt. Es soll Security-Forscher aus verschiedenen Organisationen zusammenbringen, um Fehler in beliebten Open-Source-Projekten zu suchen.
 
Gründungsmitglieder des Projekts stammen unter anderem von Microsoft, Google, Intel, Mozilla, Oracle, VMware, LinkedIn, F5 und HackerOne. Laut Github haben sie bereits rund 100 Sicherheitsmängel gemeldet und behoben.
 
"Unser Team wird mit gutem Beispiel vorangehen und Vollzeitressourcen für das Auffinden und Melden von Schwachstellen in kritischen Open-Source-Projekten einsetzen", schreibt Github in einem Blogbeitrag. "Gemeinsam bringen wir Werkzeuge, Ressourcen, Bountys und Tausende von Stunden Sicherheitsforschung ein, um das Open-Source-Ökosystem zu schützen."
 
Ein neues Bug-Bounty-Programm sieht Prämien bis 2500 Dollar für das Auffinden von Schwachstellen vor. Dabei soll CodeQL helfen, eine Engine für semantische Codeanalyse. Diese wird von Github frei zur Verfügung gestellt.
 
Nun soll es auch automatisierte Sicherheitsupdates für alle Repositories geben, was seit Anfang Jahr in einer Beta-Version gestestet wurde. Zudem kann Github selbst CVE-Nummern für Schwachstellen vergeben und stellt eine Datenbank zur Verfügung, mit deren Hilfe man nach bekannten Schwachstellen suchen kann.
 
Github versucht schon länger, die Sicherheit zu erhöhen. So wurde erst im September die Analyseplattform Semmle gekauft. Ausserdem gibt es seit rund zwei Jahren die "Security Alerts", die Schwachstellen in Abhängigkeiten melden sollen und im letzten Oktober mit Machine Learning erweitert wurden. (ts)